Komiteen har for øvrig
ingen merknader, viser til proposisjonen og rår Stortinget til å
gjøre slikt
vedtak til lov
om endringer i sikkerhetsloven (reduksjon av
antall klareringsmyndigheter mv.)
I
I lov 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste
gjøres følgende endringer:
§ 2 fjerde til åttende ledd skal lyde:
§ 29 a gjelder for alle anskaffelser til kritisk
infrastruktur. Kongen kan gi forskrift om identifisering av kritisk
infrastruktur og om informasjon til rettssubjekter som eier eller
rår over kritisk infrastruktur.
Loven gjelder for domstolene med de særregler som
følger av bestemmelsene om sikkerhetsklarering og autorisasjon i
og i medhold av domstolloven og straffeprosessloven. Kongen kan
fastsette ytterligere særregler.
Bestemmelsene gitt i og i medhold av lovens kapittel
6 om personellsikkerhet gjelder ikke for regjeringens medlemmer
og dommere i Høyesterett.
Loven gjelder ikke for Stortinget, Riksrevisjonen, Stortingets
ombudsmann for forvaltningen og andre organer for Stortinget.
Loven gjelder for Svalbard og Jan Mayen i den utstrekning
Kongen bestemmer.
§ 3 første ledd nytt nr. 21 skal lyde:
21. Kritisk infrastruktur; anlegg og systemer
som er nødvendige for å opprettholde samfunnets grunnleggende behov
og funksjoner.
Ny § 5 a skal lyde:
§ 5 a Varslingsplikt og myndighet
til å fatte vedtak ved risiko for sikkerhetstruende virksomhet
En virksomhet som får kunnskap om en planlagt eller
pågående aktivitet som kan medføre en ikke ubetydelig risiko for
at sikkerhetstruende virksomhet blir etablert eller gjennomført,
skal varsle overordnet departement om dette. Dersom den varslingspliktige
virksomheten ikke er underlagt noe departement, skal varselet gis
til Forsvarsdepartementet. Varslingsplikten gjelder uten hinder
av lovbestemt taushetsplikt. Ved behandling av varsel etter første
og andre punktum bør det innhentes rådgivende uttalelser fra relevante
organer med kompetanse innenfor det aktuelle fagområdet.
Kongen i statsråd kan fatte nødvendige vedtak for
å hindre en planlagt eller pågående aktivitet som nevnt i første
ledd første punktum. Et slikt vedtak kan fattes uten hensyn til
begrensningene i forvaltningsloven § 35, og uavhengig av om aktiviteten
er tillatt etter annen lov eller annet vedtak. Vedtak etter første punktum
er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven kapittel
13.
Kongen i statsråd kan gi forskrift om varslingsplikten
i første ledd og om hvilke vedtak som kan fattes etter andre ledd.
§ 9 første ledd bokstav e og f skal lyde
e) drive en nasjonal responsfunksjon
for alvorlige dataangrep mot kritisk infrastruktur og et nasjonalt
varslingssystem for digital infrastruktur,
f) gi informasjon, råd og veiledning til virksomheter.
I kapittel 3 skal ny § 10 a lyde:
§ 10 a Behandling av personopplysninger
Når det er nødvendig for å utføre oppgavene etter § 9
første ledd bokstav e, kan Nasjonal sikkerhetsmyndighet behandle
personopplysninger i form av
a) metadata om IKT-trafikk til og fra
virksomheter som er knyttet til det nasjonale varslingssystemet for
digital infrastruktur
b) informasjon som er nødvendig for å analysere
utløste alarmer i varslingssystemet
c) IP-adresser mottatt fra nasjonale og internasjonale
samarbeidspartnere
d) logger og infisert maskinvare, etter samtykke
fra en virksomhet der dette er nødvendig i forbindelse med bistand
til håndtering av alvorlige dataangrep.
I andre tilfeller enn nevnt i første ledd, kan
personopplysninger også behandles når dette er strengt nødvendig
for å ivareta oppgavene etter § 9 første ledd bokstav e, og behandlingen
etter en konkret vurdering framstår som både nødvendig og proporsjonal
i forhold til det inngrepet den representerer i personvernet.
Kongen kan gi forskrift om Nasjonal sikkerhetsmyndighets
behandling av personopplysninger.
Ny § 13 a skal lyde:
§ 13 a Sikkerhetsmessig overvåking
av godkjente informasjonssystemer
Den enkelte virksomhet skal kontinuerlig overvåke
et godkjent informasjonssystem for sikkerhetstruende hendelser mot
informasjonssystemet eller informasjon i systemet, fortrinnsvis
ved bruk av automatisert systemovervåking. Sikkerhetsrelevante hendelser
skal registreres.
Informasjon som utveksles mellom systemer, på tvers
av autorisasjonsskiller eller til bærbare lagringsmedier, skal registreres
og lagres.
Flere virksomheter som er tilknyttet samme informasjonssystem,
kan avtale at en av virksomhetene skal forestå overvåking og registrering
etter første og andre ledd på vegne av den ansvarlige virksomheten.
Informasjon registrert etter første og andre ledd skal
lagres i fem år. Slik informasjon skal kun benyttes for å håndtere
sikkerhetstruende hendelser.
Den enkelte virksomhet skal påse at autoriserte brukere
av informasjonssystemer som overvåkes i henhold til denne bestemmelse
får informasjon om formålet med behandlingen, om de tiltak som er iverksatt,
om informasjonen vil bli utlevert og eventuelt om hvem som er mottaker.
Kongen kan gi forskrift om
a) hvilke typer data som kan eller skal
registreres og lagres
b) hvem som skal ha tilgang til registrert og lagret data
c) hvordan tilgang skal gis
d) unntak fra lagringstid på fem år.
§ 23 skal lyde:
§ 23 Autorisasjonsansvarlig
og klareringsmyndighet
Autorisasjon kan gis dersom autorisasjonsansvarlig
ikke har opplysninger som gjør det tvilsomt om vedkommende sikkerhetsmessig
er til å stole på. Autorisasjon gis normalt av virksomhetens leder. Autorisasjon
skal ikke gis før det foreligger melding om sikkerhetsklarering,
med unntak for de tilfeller som er beskrevet i § 19 tredje ledd,
og en autorisasjonssamtale er avholdt. Nasjonal
sikkerhetsmyndighet gir nærmere regler om autorisasjon og om hvem som
er autorisasjonsansvarlig.
Kongen utpeker en klareringsmyndighet for forsvarssektoren
og en for den sivile sektoren. Kongen kan utpeke andre klareringsmyndigheter
når særlige grunner taler for det. Etterretnings- og sikkerhetstjenestene
klarerer eget personell.
§ 28 første ledd andre punktum skal lyde:
Kongen gir forskrift om gyldighetstiden for leverandørklareringer.
Kapittel 7 overskriften skal lyde:
Kapittel 7. Sikkerhetsgraderte anskaffelser og anskaffelser
til kritisk infrastruktur
I kapittel 7 skal ny § 29 a lyde:
§ 29 a Varslingsplikt og myndighet
til å fatte vedtak ved anskaffelser til kritisk infrastruktur
Ved anskaffelser til kritisk infrastruktur skal
det foretas en risikovurdering. I vurderingen skal det tas stilling
til om anskaffelsen innebærer en ikke ubetydelig risiko for at sikkerhetstruende
virksomhet blir etablert eller gjennomført mot eller ved bruk av
infrastrukturen. Plikten til å foreta en risikovurdering gjelder
ikke dersom det framstår som åpenbart at anskaffelsen ikke kan innebære
noen slik risiko.
En virksomhet som eier eller rår over kritisk
infrastruktur, skal varsle overordnet departement dersom en risikovurdering
som nevnt i første ledd konkluderer med at anskaffelsen kan innebære
en ikke ubetydelig risiko for at sikkerhetstruende virksomhet blir
etablert eller gjennomført. Virksomheter som ikke er underlagt noe
departement, skal varsle Forsvarsdepartementet. Varslingsplikten
gjelder uten hinder av lovbestemt taushetsplikt. Plikten gjelder ikke
dersom virksomheten selv iverksetter risikoreduserende tiltak som
fjerner risikoen, eller gjør den ubetydelig.
Et departement som mottar varsel etter andre ledd,
bør innhente en rådgivende uttalelse fra relevante organer om leveransens
risikopotensial, og leverandørers sikkerhetsmessige pålitelighet.
Dersom en anskaffelse til kritisk infrastruktur kan
medføre en ikke ubetydelig risiko for at sikkerhetstruende virksomhet
blir etablert eller gjennomført, kan Kongen i statsråd fatte vedtak
om at anskaffelsen skal nektes gjennomført, eller om at det settes vilkår
for gjennomføringen. Dette gjelder også dersom det allerede er inngått
avtale om anskaffelsen. Dersom det ikke fattes vedtak etter første
punktum, skal departementet underrette virksomheten om dette. Vedtak
etter første punktum er særlig tvangsgrunnlag etter tvangsfullbyrdelsesloven
kapittel 13.
Kongen i statsråd kan gi forskrift om anskaffelser til
kritisk infrastruktur.
II
Loven gjelder fra den tid Kongen bestemmer. Kongen
kan bestemme at de forskjellige bestemmelsene skal tre i kraft til
forskjellig tid.